NTP Amplification attacks 或 NTP Reflection attacks 是 2013 年底才出現的東西,
中文稱「NTP放大攻擊」
跟 DNS Amplification Attack 的原理類似, 它是利用 NTP 中的 monlist 指令,
NTP Server 會回傳曾經 query 過它的 IP 及次數清單,
攻擊者只要假造攻擊目標的 IP, 送 query 封包給 NTP Server, 攻擊者只要少量的頻寬,
NTP Server 就會回應放大 N 倍的封包給攻擊目標, 形成 DDoS 攻擊.
一般用戶是不會架 NTP, 不過己知有一些監視器有啟動 NTP Server, 成為攻擊者利用的工具.
NTP Server 檢查
本機 ntpdc -n -c monlist 若有一堆結果表示 monlist 有開
遠端 nmap -sU -pU:123 -Pn -n --script=ntp-monlist.nse ntp.server.com
ntp-monlist.nse 可以在 nmap.org 網頁 下載
解決方法 for NTP admin
關掉 monlist, 在 /etc/ntp.conf 加入 disable monitor, 或將 NTPD 升至 4.2.7p26 以上版本
防治方法 for ISP
因為正常的 symmetric mode NTP 封包, src-port, dst-port 都是 udp 123 port, ntpdate 及 Windows 的校時都是這種模式,
只放行 src-port 及 dst-port 都是 udp 123 port 的封包, 其他 any to udp 123 port 擋
permit udp any eq 123 any eq 123
deny udp any any eq 123
ref.
【資安通報】NTP校時服務放大攻擊(NTP-reflection attacks)
NTP DoS reflection attacks
NTP reflection attack
Hackers Spend Christmas Break Launching Large Scale NTP-Reflection Attacks
Secure NTP Template
截錄 RFC 1305
@Z_TBL_BODY = TABLE HEADER, TABLE HEADER, TABLE HEADER
pkt.peerport, pkt.hostport, Mode
@Z_TBL_BODY = TABLE TEXT, TABLE TEXT, TABLE TEXT
NTP.PORT, NTP.PORT, symmetric active
NTP.PORT, not NTP.PORT, server
not NTP.PORT, NTP.PORT, client
Leave a comment